0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

十大最常见的汽车及嵌入式网络安全漏洞‍

jf_C6sANWk1 来源:汽车信息安全 作者:Keel Lee-青骥 2022-11-18 09:16 次阅读

‍在本文中,我们将列出十大最常见的汽车及嵌入式网络安全漏洞‍

漏洞10:数字错误 Numeric Errors

数字错误可以指几类不同的问题,包括:

包围错误。

数组索引的不正确验证。

整数溢出。

字节排序不正确。

数字类型之间的转换不正确。

数字错误占所有漏洞的3%。

不正确的计算。

数字错误漏洞的一个常见位置是在数学计算。另外,如果数据从一个溢出,它就会受到这种漏洞的影响。

漏洞9:密码学问题Cryptographic Issues

与密码学的使用有关的弱点,经常让许多开发者感到困惑。实践中有很多动作可以导致密码学问题,包括:

敏感数据的加密缺失。

密钥管理错误。

缺少所需的加密步骤。

加密强度不足。

使用不安全或有风险的加密算法

使用可逆的单向散列。

未正确使用随机初始化。

不适当地使用RSA算法。

漏洞8:代码注入Code Injection

任何人都可以向移动应用程序发送不受信任的数据,包括外部用户、内部用户、应用程序本身或移动设备上的其他恶意应用程序。

攻击者加载简单的基于文本的攻击,这些攻击利用移动应用程序中目标解释器的语法。

而几乎任何数据源都可以是注入向量。 作为社区中的一个常见漏洞。

尽管这个漏洞主要出现在网站开发中,但当涉及到汽车的信息娱乐系统和其他复杂的嵌入式系统时,它仍然经常存在。

漏洞7:代码Code

将代码作为自己的漏洞可能看起来很奇怪,但我们谈论的是任何不属于特定类别的东西——所以认为这是一个包罗万象的漏洞。形如:

密码管理不善、存储明文密码、硬编码密码。

API 合同处理不当。

错误处理不当或缺失。

不恰当地处理时间和状态。

代码错误占所有漏洞的 4.4%。

代码生成问题。

重要的是,开发人员不要自己进行加密——这显然不值得。,因为逆向工程非常容易,当它的表现不如预期时,这也将让许多工程师感到沮丧和尴尬。

漏洞6:资源管理Resource Management Errors

错误资源管理错误包括许多事情,如:

系统资源管理不当。

不受控制的资源消耗。

将私人资源转移到新领域。

资源释放或关闭不当。

非对称资源消耗。

资源锁定。

双重免费,免费后使用。

资源池不足。

没有非堆内存。

尽管这些问题在 C 和 C++ 等语言中更为常见,但牢记它们始终很重要。

PythonJava编码的人常常认为他们对资源管理错误是免疫的,但事实并非如此。

在这些语言中,很容易在不知不觉中达到内存耗尽的地步,而没有意识到它正在发生。

漏洞5:不当的访问控制 Improper Access Control

不当的访问控制是指软件不限制或错误地限制未授权的参与者对资源的访问。包括:

权限管理不当。

所有权管理不当。

授权不当。

不正确的用户管理。

不正确的身份验证。

来源验证错误。

对预期端点的通信通道限制不当。

漏洞 4:输入验证不当Improper Input Validation

不正确的输入验证包括从可能影响程序控制流或数据流的任何内容中获取不正确或缺失的信息。

包括以下内容:

不正确的路径名限制。

不正确的路径名等效解析。

配置设置的外部控制。

不适当的中和(命令注入、SQL 注入、跨站点脚本等)。

缺少 XML 验证。

不正确的日志无效化。

对内存缓冲区边界的限制不当。

不正确的数组索引验证。

复制到缓冲区而不检查大小。

不正确的空终止。

通常来说,开发人员从外部世界获取信息的任何地方都可能包含在此漏洞中。

漏洞3:信息泄露Information Exposure

信息泄露是指有意或无意地将信息透露给未经明确授权的行为者。这种信息暴露往往是通过以下方式发生的。如:

发送的数据。

数据查询。

差异性。

错误信息。

调试信息。

进程环境。

缓存。

索引私人数据。

开发人员往往会忘记通过错误消息和调试消息以及任何可能会进入日志文件的信息而泄露信息。

出于这个原因,开发人员需要注意日志文件中的所有内容,并确信那里没有任何可能对攻击者有价值的信息。

漏洞2:访问控制Access Control

访问控制是与管理权限、特权或其他安全功能有关的任何弱点。包括:

沙盒问题(chroot环境)。

权限问题(不适当的继承,允许的默认值,颠覆权限的符号链接。不当的权限保存,等等)。

不当的所有权管理。

不当的访问控制

漏洞1:内存缓冲区问题Memory Buffer Problems

当软件可以读取或写入内存缓冲区边界之外的位置时,就会出现内存缓冲区问题。包括:

在复制时不检查输入的大小。

允许写到任意位置的错误。

结语:如何在黑客虎视眈眈中保持安全

通过持续关注上述 Top10 漏洞,可以确保代码保持相对安全。当然,及时发现了解资产的漏洞并加载补丁也是至关重要的——因为新的问题不断会被发现。





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 嵌入式
    +关注

    关注

    5082

    文章

    19115

    浏览量

    304905
  • JAVA
    +关注

    关注

    19

    文章

    2967

    浏览量

    104716
  • RSA算法
    +关注

    关注

    0

    文章

    14

    浏览量

    7799

原文标题:常见的汽车及嵌入式安全漏洞

文章出处:【微信号:阿宝1990,微信公众号:阿宝1990】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    漏洞真实影响分析,终结网络安全的“狼来了”困境

    摘要: 关注网络安全的企业大都很熟悉这样的场景:几乎每天都会通过安全媒体和网络安全厂商接收到非常多的漏洞信息,并且会被建议尽快修复。尽管越来越多的企业对
    发表于 12-25 15:18

    万物互联时代,搭建网络安全的生态系统迫不及缓

    ,随着物联网加速融入人们的生产生活,传统的网络攻击和风险正在向物联网和智能设备蔓延。2017年,国家信息安全漏洞共享平台收录的安全漏洞中,关于联网智能设备的安全漏洞有2440个,同比增
    发表于 08-24 15:59

    嵌入式设备网络安全有什么策略?

    本文探索了在系统开发过程中重要的安全策略,包括进行嵌入式安全评估和设计的框架,定义了一些网络安全概念,并提供了一些嵌入式设备
    发表于 09-19 06:00

    开发人员和嵌入式系统设计人员如何使用JWT关闭物联网设备的安全漏洞

    本文将介绍物联网设备安全威胁,并介绍目前用于应对该威胁的设备。它将确定安全漏洞以及开发人员和嵌入式系统设计人员如何使用JWT关闭它们。
    发表于 06-16 06:17

    嵌入式代码可能存在的致命漏洞是什么

    关注+星标公众号,不错过精彩内容来源 |电子伊甸园微信公众号|嵌入式专栏随着互联网的发展,嵌入式设备正分布在一个充满可以被攻击者利用的源代码级安全漏洞的环境中。因此,嵌入式软件开发..
    发表于 12-17 07:59

    网络安全的盲区和雷区汇总,错过绝对后悔

    。可以说,嵌入式安全是目前网络安全领域的“盲区”和“雷区”。  嵌入式系统的安全现状和上世纪90年代PC
    发表于 12-23 07:27

    基于IPSec 的嵌入式网络安全应用研究

    嵌入式设备接入Internet 是当今嵌入式系统发展的一个重要趋势,但是Internet 提供的开放性网络环境并不保障接入嵌入式系统的安全
    发表于 07-16 08:40 14次下载

    基于IPSec和SSL的嵌入式网络安全应用研究

    嵌入式系统安全性的研究逐渐成为网络安全领域的一个重要课题。本文针对嵌入式系统的网络安全性问题进行研究,分析了目前
    发表于 08-13 10:59 15次下载

    嵌入式代码的致命安全漏洞

    随着互联网的发展,嵌入式设备正分布在一个充满可以被攻击者利用的源代码级安全漏洞的环境中。因此,嵌入式软件开发人员应该了解不同类型的安全漏洞——特别是代码注入。 术语“代码注入”意味着对
    的头像 发表于 01-15 15:07 2201次阅读

    基于区块链的网络安全漏洞检测系统

    基于区块链的网络安全漏洞检测系统
    发表于 06-19 15:44 13次下载

    如何减少网络安全中潜在的威胁安全漏洞

    在大型公司会受到安全攻击是家常便饭的时代,即使投入了大量保护资金,较小型公司也更容易受到攻击。许多企业仍然没有将网络安全视为减少潜在威胁的强制性措施。在几乎所有的安全漏洞案例中,企业都建立了“足够好”的控制措施,并且遵守了行业法
    的头像 发表于 12-16 17:45 2961次阅读

    十大最常见汽车嵌入式网络安全漏洞

    任何人都可以向移动应用程序发送不受信任的数据,包括外部用户、内部用户、应用程序本身或移动设备上的其他恶意应用程序。攻击者加载简单的基于文本的攻击,这些攻击利用移动应用程序中目标解释器的语法。而几乎任何数据源都可以是注入向量。
    的头像 发表于 11-18 09:16 799次阅读

    十大最常见汽车嵌入式网络安全漏洞

    任何人都可以向移动应用程序发送不受信任的数据,包括外部用户、内部用户、应用程序本身或移动设备上的其他恶意应用程序。
    发表于 02-21 11:21 719次阅读

    如何降低网络安全漏洞被利用的风险

    的领军企业——国联易安的产品市场专家给出了答案: 一是明白什么是网络安全漏洞网络安全漏洞也称为脆弱性,是信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的可被威胁利用的缺陷,这些缺陷存在于件
    的头像 发表于 09-13 15:37 1062次阅读

    汽车网络安全:防止汽车软件中的漏洞

    汽车网络安全汽车开发中至关重要,尤其是在 汽车软件 日益互联的情况下。在这篇博客中,我们将分享如何防止汽车网络安全漏洞。 静态分析工具有助于执行关键的
    的头像 发表于 12-21 16:12 1094次阅读
    <b class='flag-5'>汽车网络安全</b>:防止<b class='flag-5'>汽车</b>软件中的<b class='flag-5'>漏洞</b>